Upgraden von Domänencontrollern auf eine neuere Version von Windows Server
Dieser Artikel enthält Hintergrundinformationen zu Active Directory Domain Services (AD DS) in Windows Server. Außerdem wird beschrieben, wie Sie für Domänencontroller ein Upgrade von einer früheren Version von Windows Server durchführen können.
Voraussetzungen
Die empfohlene Vorgehensweise zum Upgraden einer Domäne besteht darin, neue Server auf Domänencontroller hochzustufen, auf denen eine neuere Version von Windows Server ausgeführt wird, und die älteren Domänencontroller nach Bedarf herabzustufen. Diese Methode ist der Aktualisierung des Betriebssystems eines vorhandenen Domänencontrollers vorzuziehen, die auch als direktes Upgrade bezeichnet wird.
Führen Sie die folgenden allgemeinen Schritte aus, bevor Sie einen Server auf einen Domänencontroller hochstufen, auf dem eine neuere Version von Windows Server ausgeführt wird:
Stellen Sie sicher, dass der Zielserver die Systemanforderungen erfüllt.
Überprüfen Sie die Anwendungskompatibilität.
Lesen Sie die Empfehlungen für den Umstieg auf eine neuere Version von Windows Server.
Überprüfen Sie die Sicherheitseinstellungen.
Überprüfen Sie die Verbindung zum Zielserver für den Computer, auf dem Sie die Ausführung des Installationsvorgangs planen.
Überprüfen Sie, ob die erforderlichen FSMO-Rollen (Flexible Single Master Operation) in Active Directory verfügbar sind. Dieser Schritt ist für die folgenden Szenarien erforderlich:
- Damit Sie den ersten Domänencontroller, auf dem die aktuelle Windows Server-Version ausgeführt wird, in einer vorhandenen Domäne und Gesamtstruktur installieren können, muss der Computer, auf dem Sie die Installation ausführen, eine Verbindung mit den folgenden Komponenten herstellen:
- Mit dem Schemamaster zum Ausführen von
adprep /forestprep
. - Mit dem Infrastrukturmaster zum Ausführen von
adprep /domainprep
.
- Mit dem Schemamaster zum Ausführen von
- Für die Installation des ersten Domänencontrollers in einer Domäne, für die das Gesamtstrukturschema bereits erweitert wurde, benötigen Sie nur eine Verbindung mit dem Infrastrukturmaster.
- Zum Installieren oder Entfernen einer Domäne in einer vorhandenen Gesamtstruktur benötigen Sie eine Verbindung mit dem Domänennamenmaster.
- Für jede Domänencontrollerinstallation ist auch eine Verbindung mit dem RID-Master erforderlich.
- Wenn Sie den ersten schreibgeschützten Domänencontroller in einer vorhandenen Gesamtstruktur installieren, benötigen Sie eine Verbindung mit dem Infrastrukturmaster für jede Anwendungsverzeichnispartition. Dies wird auch als NDNC (Non-Domain Naming Context) bezeichnet.
Verwenden Sie ein Konto, das Mitglied der Gruppe „Domänenadministratoren“ ist, und führen Sie in einer PowerShell-Sitzung mit erhöhten Rechten die folgenden Befehle aus, um zu ermitteln, welchen Servern welche FSMO-Rolle zugewiesen ist:
Get-ADDomain | FL InfrastructureMaster, RIDMaster, PDCEmulator Get-ADForest | FL DomainNamingMaster, SchemaMaster
- Damit Sie den ersten Domänencontroller, auf dem die aktuelle Windows Server-Version ausgeführt wird, in einer vorhandenen Domäne und Gesamtstruktur installieren können, muss der Computer, auf dem Sie die Installation ausführen, eine Verbindung mit den folgenden Komponenten herstellen:
Installationsaktionen erforderliche Administratorebenen
Die folgende Tabelle bietet eine Übersicht über die Installationsaktionen und die zum Ausführen dieser Schritte erforderlichen Berechtigungen.
Installationsaktion | Anforderungen bezüglich der Anmeldeinformationen |
---|---|
Installieren einer neuen Gesamtstruktur | Lokaler Administrator auf dem Zielserver |
Installieren einer neuen Domäne in einer vorhandenen Gesamtstruktur | Unternehmensadministratoren |
Installieren eines weiteren Domänencontrollers in einer vorhandenen Domäne | Domänenadministratoren |
Führen Sie aus adprep /forestprep . |
Schemaadministratoren, Unternehmensadministratoren und Domänenadministratoren |
Führen Sie aus adprep /domainprep . |
Domänenadministratoren |
Ausführen von adprep /domainprep /gpprep. |
Domänenadministratoren |
Führen Sie aus adprep /rodcprep . |
Unternehmensadministratoren |
Unterstützte direkte Aktualisierungspfade
Es werden nur Upgrades von 64-Bit-Versionen unterstützt. Weitere Informationen zu den unterstützten Upgradepfaden finden Sie unter Unterstützte Upgradepfade.
„adprep /forestprep“ und „adprep /domainprep“
Für ein direktes Upgrade eines vorhandenen Domänencontrollers müssen Sie adprep /forestprep
und adprep /domainprep
manuell ausführen. Sie müssen Adprep /forestprep
nur einmal in der Gesamtstruktur für jede neuere Version von Windows Server ausführen. Führen Sie Adprep /domainprep
einmal in jeder Domäne aus, in der Domänencontroller vorhanden sind, die Sie auf jede neuere Version von Windows Server aktualisieren.
Wenn Sie einen neuen Server auf einen Domänencontroller hochstufen, müssen Sie diese Befehlszeilentools nicht manuell ausführen. Sie sind in die Umgebungen von PowerShell und Server-Manager integriert.
Weitere Informationen zum Ausführen von „adprep“ finden Sie unter Ausführen von „Adprep.exe“.
Features und Anforderungen für Funktionsebenen
Windows Server 2019 oder höher erfordert mindestens eine Windows Server 2008-Gesamtstrukturfunktionsebene. Windows Server 2016 erfordert mindestens eine Windows Server 2003-Gesamtstrukturfunktionsebene. Wenn die Gesamtstruktur Domänencontroller mit einer älteren als der vom Betriebssystem unterstützten Gesamtstrukturfunktionsebene enthält, wird die Installation blockiert. Sie müssen diese Domänencontroller entfernen und die Gesamtstrukturfunktionsebene auf eine unterstützte Version hochstufen, bevor Sie Ihrer Gesamtstruktur Domänencontroller mit einer neueren Windows Server-Version hinzufügen. Weitere Informationen zu den unterstützten Funktionsebenen finden Sie unter Gesamtstruktur- und Domänenfunktionsebenen.
Hinweis
Seit der Veröffentlichung von Windows Server 2016 wurden keine neuen Gesamtstruktur- oder Domänenfunktionsebenen hinzugefügt. Für Domänencontroller können und sollten spätere Betriebssystemversionen verwendet werden. Sie verwenden Windows Server 2016 als neueste Funktionsebenen.
Zurücksetzen von Funktionsebenen
Nachdem Sie die Gesamtstrukturfunktionsebene auf einen bestimmten Wert festgelegt haben, können Sie die Gesamtstrukturfunktionsebene nicht mehr zurücksetzen oder herabstufen. Dabei gelten jedoch die folgenden Ausnahmen:
- Bei einem Upgrade von einer Windows Server 2012 R2-Gesamtstrukturfunktionsebene können Sie ein Rollback auf Windows Server 2012 R2 ausführen.
- Bei einem Upgrade von einer Windows Server 2008 R2-Gesamtstrukturfunktionsebene können Sie ein Rollback auf Windows Server 2008 R2 ausführen.
Nachdem Sie die Domänenfunktionsebene auf einen bestimmten Wert festgelegt haben, können Sie die Domänenfunktionsebene nicht mehr zurücksetzen oder herabstufen. Dabei gelten jedoch die folgenden Ausnahmen:
- Wenn Sie die Domänenfunktionsebene auf Windows Server 2016 hochstufen und die Version der Gesamtstrukturfunktionsebene Windows Server 2012 oder niedriger ist, haben Sie die Möglichkeit, die Domänenfunktionsebene auf Windows Server 2012 oder Windows Server 2012 R2 zurückzusetzen.
Weitere Informationen zu den auf den einzelnen Funktionsebenen verfügbaren Features finden Sie unter Gesamtstruktur- und Domänenfunktionsebenen.
Interoperabilität mit Active Directory Domain Services
Active Directory Domain Services (AD DS) wird unter den folgenden Windows-Betriebssystemen nicht unterstützt:
- Windows MultiPoint Server
- Windows Server Essentials
Active Directory Domain Services kann nicht auf einem Server installiert werden, auf dem die folgenden Serverrollen oder Rollendienste ausgeführt werden:
- Microsoft Hyper-V Server
- Remotedesktop-Verbindungsbroker
Verwaltung von Windows Server
Verwenden Sie zum Verwalten von Domänencontrollern und anderen Servercomputern unter Windows Server die Remoteserver-Verwaltungstools für Windows 10. Sie können die Remoteserver-Verwaltungstools von Windows Server auf einem Computer unter Windows 10 oder höher ausführen.
Hinzufügen eines neuen Domänencontrollers mit einer neueren Version von Windows Server
Im folgenden Beispiel wird veranschaulicht, wie Sie die Contoso-Gesamtstruktur von einer früheren Windows Server-Version auf eine höhere Version aktualisieren.
Binden Sie den neuen Windows Server-Computer in Ihre Gesamtstruktur ein. Führen Sie einen Neustart aus, wenn Sie dazu aufgefordert werden.
Melden Sie sich mit einem Domänenadministratorkonto bei dem neuen Windows Server-Computer an.
Navigieren Sie in Server-Manager zu Rollen und Features hinzufügen, und installieren Sie Active Directory Domain Services auf dem neuen Windows Server-Computer. Bei dieser Aktion wird „adprep“ automatisch für die Gesamtstruktur und Domäne der früheren Version ausgeführt.
Wählen Sie in Server-Manager das gelbe Dreieck aus. Wählen Sie im Dropdownmenü die Option Server zu einem Domänencontroller heraufstufen aus.
Wählen Sie auf dem Bildschirm Bereitstellungskonfiguration die Option Neue Domäne zu vorhandener Gesamtstruktur hinzufügen aus, und wählen Sie dann Weiter aus.
Geben Sie auf dem Bildschirm Domänencontrolleroptionen das Kennwort für den Verzeichnisdienste-Wiederherstellungsmodus ein, und wählen Sie Weiter aus.
Wählen Sie auf den restlichen Bildschirmen jeweils die Option Weiter aus.
Wählen Sie auf dem Bildschirm Voraussetzungsprüfung die Option Installieren aus. Melden Sie sich nach Abschluss des Neustarts erneut an.
Wählen Sie in der früheren Version von Windows Server in Server-Manager unter Tools die Option Active Directory-Modul für Windows PowerShell aus.
Verwenden Sie im PowerShell-Fenster das Cmdlet
Move-ADDirectoryServerOperationMasterRole
, um die FSMO-Rollen zu verschieben. Sie können den Namen jeder Betriebsmasterrolle eingeben oder Zahlen verwenden, um die Rollen anzugeben. Weitere Informationen finden Sie unter Move-ADDirectoryServerOperationMasterRole.Move-ADDirectoryServerOperationMasterRole -Identity "DC-W2K16" -OperationMasterRole 0,1,2,3,4
Wechseln Sie zum neuen Windows Server-Computer, um zu überprüfen, ob die Rollen verschoben wurden. Wählen Sie in Server-Manager unter Tools die Option Active Directory-Modul für Windows PowerShell aus. Verwenden Sie die Cmdlets
Get-ADDomain
undGet-ADForest
, um die Inhaber der FSMO-Rollen anzuzeigen.Stufen Sie den älteren Windows Server-Domänencontroller herab, und entfernen Sie ihn. Informationen zum Herabstufen eines Domänencontrollers finden Sie unter Herabstufen von Domänencontrollern und Domänen.
Nachdem der Server herabgestuft und entfernt wurde, können Sie die Gesamtstrukturfunktionsebene und die Domänenfunktionsebene auf die aktuelle Version von Windows Server hochstufen.